AWS 上的网络连接指南

实施资源

• 云端连接

  • 场景
  • 概述
  • 实施

  • 场景

  • 云端连接

    • 与服务建立私有连接
    • 实施连接多个环境的策略
      
  • 概述

  • 在云环境中创建虚拟网络时，您需要在不同的工作负载及其组件之间建立连接。云中的这些连接可以在服务模型中使用，在该模型中，您可以授予工作负载之间的访问权限以连接和检索或发送数据。在云端，您的工作负载可以拥有私有或公有 IP 地址，从而允许它们之间建立连接。

    当您开始构建云环境时，不同的工作负载将托管在单独的网络上，并且可能通过互联网进行连接。然而，随着环境的扩展和发展，您可以构建网络，确保不必要的流量永远不会离开您的云环境。如果您正在与合作伙伴或软件即服务（SaaS）提供商合作，则可以与他们建立私有连接，这样，流量就永远不会离开您的云环境。

    可以通过几种方法来建立网络连接，从而确保环境内网络流量的安全性。您可以跨多个网络或服务建立 VPN 连接，使用网络的路由表连接各种网络和接入点，同时利用云提供商的主干网络，或者在两个站点之间建立物理连接。

    将流量保持在云环境中有助于降低与合作伙伴、软件即服务（SaaS）提供商或数据中心通信时跨网络的数据传输费用，因为流量不会离开您的网络，也不需要接入互联网。此外，采用私有连接可能可以改善网络的安全性、可靠性和延迟，因为您不会与互联网共享带宽。

    为了增强工作负载、服务和您正在使用的任何潜在合作伙伴产品的可发现性，您必须规划和构建内部和外部域名系统（DNS）设置，用于进行私有和公共访问。

  • 实施
  • 与服务建立私有连接

    可以在不离开 AWS 环境的情况下使用 AWS 服务，这样可以降低工作负载的数据传输成本并保护您的数据和资产，因为它们不需要通过互联网传输。我们建议您使用 AWS PrivateLink 为希望使用私有 IP 地址访问的服务创建端点。请访问与 AWS PrivateLink 集成的 AWS 服务，以获取所有兼容服务的列表。

    根据您的传输的流量的类型及其分布方式，您可以在 VPC 中构建多种类型的 VPC 端点：

    • 接口
    • 网关
    • 网关负载均衡器

    在 PrivateLink 文档中详细了解不同类型的端点。

    虚拟私有云（VPC）旨在实现高可用性。设计 VPC 时，可以考虑在多个可用区中创建子网。

    要详细了解如何保护您的 VPC、如何将资源策略与 VPC 端点结合使用、如何使用安全组以及如何使用网络 ACL，请查看服务文档。

    有关 VPC 安全性的更多信息，请参阅 Amazon VPC 常见问题中的“安全和筛选”。
    

    实施连接多个环境的策略

    在 AWS 上创建环境时，我们建议使用多个 AWS 账户来建立独立的环境，从而限制您的资源。这样可以更轻松地保持对工作负载和资源的控制。
    

    当您使用多个账户时，必须保证这些资源之间存在连接，这样，它们就可以通过网络相互通信。

    我们建议您设置一个网络 AWS 账户来托管您的联网资源，并简化整个 AWS 环境中的网络操作和管理。请参考 Cloud Foundations 工作负载隔离边界功能，以创建网络账户。

    在建立环境时，我们建议您从 AWS 托管 VPN 着手，它让您能够以安全的方式，通过互联网从远程网络安全地连接到您的 Amazon VPC。最常见的使用案例之一是设置软件 VPN 转 AWS 托管 VPN，这样就可以将远程网络 VPN 连接到您的 AWS 环境。

    如果您使用 AWS 云广域网（WAN）或 AWS Transit Gateway，请记住，链接网络中 VPC CIDR 的 IP 地址不得重叠，以免跨 VPC 发生 IP 冲突。

    如果您有多个工作负载，并且需要建立一种集中控制组织内部流量的方法，我们建议您使用网络账户，通过 AWS 云 WAN 将环境中的不同虚拟私有云（VPC）链接到一个集中位置，然后使用 AWS Resource Access Manager（RAM）与您的组织共享核心网络。为您的生产环境使用不同的 AWS Transit Gateway，以确保可以单独衡量每个网络的性能。

    与企业共享中央 AWS 云 WAN 后，在将连接到全球网络的各个账户上建立连接。AWS 云 WAN 提供高达 50Gbps 的带宽。在网络账户上，您还可以激活 VPC 流日志并将其发布到 CloudWatch Logs，以便将它们保存在 AWS 账户日志组中，从而分析流量和监控网络性能。

    您也可以集中配置不同的安全服务。
    

• IP 地址和多网络管理

  • 场景
  • 概述
  • 实施

  • 场景

  • IP 地址和多网络管理

    • 设计 IP 地址方案
    • 分配非重叠的 IP CIDR
    • 在云中使用本地网络中可公开路由的 IP 地址范围
  • 概述

  • 您的工作负载使用 IP 地址在云环境内相互交互，或者在混合设置中与云环境外的资源交互。在规划安装和运行工作负载的诸多步骤时，IP 地址管理是管理网络的关键环节。

    如果您不规划 IP 地址空间的分配方式，则将面临 CIDR 重叠和 IP 地址耗尽的危险，而这可能会导致网络或服务中断。制定 CIDR 空间分配策略有助于开发您的基本环境，其中包括支持路由规则和路由优化。
    

    CIDR

    对于私有通信，您可以在传统的本地网络中为 LAN 分配无类域间路由（CIDR）范围。同样，在云环境中配置网络时，使用的 CIDR 范围不得重叠。不重叠的 IP 空间使您能够创建高效的路由，从而提高网络性能，同时避免间歇性连接困难和通信故障。在某些情况下，无法避免 IP 范围重叠，因此必须设计网络路径或转换设备，以保证这些网络之间的通信按计划运行。

    我们建议您在构建网络 CIDR 范围时为地理区域、地点甚至服务选择连续的 CIDR 范围。您可以通过对 CIDR 进行分组来定义或分类它们，使管理员能够轻松地查找和建立路由。

    IP 地址利用率

    网络规划和架构的一个重要部分是最大限度地降低 IP 地址耗尽的可能性。

    当特定网络所需的 IP 地址数量超过可用的 IP 地址数量时，便会出现 IP 耗尽的情况。由于云提供的灵活性，这成为了云设置中的一个重要问题。您的工作负载在增长和下降时会使用给定网络中的其他 IP 地址。

    如果网络中没有可用的 IP，扩展就会失败，从而危及您的服务。在设计时，请确保 IP 范围范围足够广泛，以支持云环境中的网络资源和非网络资源。在规划时，应考虑到当前和未来的需求，以确定 CIDR 的大小。

    虚拟网络

    您可以根据自身的运营需求，通过虚拟网络将资源相互隔离。

    通过使用虚拟网络，您的团队可以在资源之间建立严格的网络边界，确保网络隔离并降低一个虚拟网络中的资源访问另一个虚拟网络中的资源的风险。例如，开发人员可以使用不同的网络来设计和开发与生产工作负载隔离的资源。

    开发人员在一个虚拟网络中的问题或危险行为不会影响另一个虚拟网络中的网络资源。在此阶段，评估可能影响网络拓扑类型的短期和长期项目，例如组织合并、大数据中心转移以及采用新的供应商或技术。网络管理员和高管必须准备好构建虚拟网络、重组子网络，并对路由、交换和物理层网络进行更改，以便在整个网络中建立通信。

    IPv4 地址空间即将耗尽，这给全球 IT 和网络部门带来了挑战。网络技术领域的重大进展之一就是 IPv6 的发明。 它不仅能够解决 IPv4 耗尽这一迫在眉睫的问题，还可以简化路由，并提供几乎无限的地址池，从而简化移动网络和物联网（IoT）设备的构建和配置。IPv4 网络在创建私有网络的 IP 架构时存在问题，且较为复杂。由于 IPv4 空间有限，因此一个重要的设计问题就是根据特定应用程序的需求确定为其提供多少空间。使用 IPv4 空间通常会导致以下设计限制：

    1. 网络架构设计得太小，需要您通过向网络添加新的 CIDR 块来扩大网络规模。
    2. 网络架构设计得太大，需要客户接受 IP 重叠，这会导致连接问题并影响网络性能。

    IPv6 使用 128 位，而不是 IPv4 的 32 位，这基本上无需再进行任何大小方面的考量，使您能够创建唯一的 IP 地址，从而几乎消除对重叠的担忧。

    网络配置和管理

    网络是任何 IT 基础设施的基础。无论是部署后的操作问题还是调试，您经常需要对特定网络组件进行修改，这将导致整个拓扑发生变化。这些变化包括更新路由表、分配新的私有和公共 IP 地址，以及在每个团队和企业的资源内部和外部进行故障排除（连接、数据包丢失、吞吐量、带宽消耗或延迟问题）。当发生任何这些情况时，强大的网络架构会降低对网络拓扑进行大规模修改的需要。

  • 实施
  • 设计 IP 地址方案

    无论您是将自己的 IP 地址带入 AWS 环境还是使用 AWS IP 地址，开发一个有关如何在网络内使用 IP 地址的系统都将有助于您避免 IP 耗尽并确保网络性能符合您的需求预期。

    我们建议将可公开路由的 IPv4 和 IPv6 工作负载与内部路由的子网分开。对于 IPv4 CIDR，我们建议在子网中使用 IP 地址范围，以便您可以根据需要部署尽可能多的资源。一些常用的 CIDR 范围包括 /24、/22 和 /20，如 RFC 1918 中所定义。对于 IPv6 CIDR，默认情况下 AWS 将分配 /56 CIDR。

    请注意，互联网络之间的 VPC CIDR 不得具有重叠的 IP 地址。当您规划 IP 地址管理（IPAM）策略时，Amazon IPAM 服务可以帮助您跟踪和自动化互联环境中的不同 CIDR。

    在设计网络环境时，请考虑哪些网络将公开可用，哪些网络将保持私有状态。这将影响您的 IP 分配方法以及每个子网的路由表架构。规划每个子网将使用的 IP 地址数量，并在设计子网时考虑子网大小限制，以确保每个子网内都有足够的 IP 地址可访问。使用公有子网时，请确保子网已连接互联网网关（IGW），以允许来自互联网的流量到达您的工作负载。

    私有资源（如后端、API 或数据库）应保留在私有子网中，确保无法从互联网访问它们。在这些子网中，配置路由表以确保每个子网中的资源都可以访问它们所需的资源，并且不提供来自其他子网或不应直接访问特定资源的资源的访问权限。

    要允许直接从私有子网访问 Internet 或其他 VPC，请在部署私有子网的每个 VPC 中配置 AWS NAT 网关。使用多个可用区时，请在至少两个可用区中部署 AWS NAT 网关，以跨可用区提供冗余。

    自动分配不重叠的 IP CIDR

    为了集中管理您的 IP 地址，我们建议您将 Amazon VPC IP 地址管理器（IPAM）的管理委托给基础设施 OU 中的网络账户。

    Amazon VPC IPAM 可帮助您在整个组织中维护 IP 分配的统一视图，根据您的路由和安全需求轻松组织 IP 地址，并设置简单的业务规则来管理 IP 分配。

    使用 IPAM 时，您可以自动将 IP 地址分配给 VPC，从而减少为新工作负载将 IP 地址分配给新 VPC 所需的时间，并降低分配重叠 IP CIDR 的风险。

    使用 Amazon CloudWatch 配置警报，以主动解决任何 IP 地址冲突问题，从而监控整个网络的可见性。在过渡到 AWS 时，您必须了解您的工作负载和服务对可消费混合模型的要求。AWS 联网可简化您当前的本地网络、数据中心、办公室、卫星位置和事件互联网的连接选项。

    在云中使用本地网络中可公开路由的 IP 地址范围

    自带 IP（BYOIP）：BYOIP 允许您将部分或全部可公开路由的 IPv4 或 IPv6 地址从本地网络迁移到您的 AWS 账户。默认情况下，AWS 会在互联网上公布 BYOIP CIDR。当您将地址范围带到 AWS 时，它会在您的账户中显示为地址池。这些 IP 地址可以分配给您账户中的 AWS 资源，例如 EC2 实例、弹性网络接口（ENI）、NAT 网关和 AWS 网络负载均衡器（NLB）。

    使用 BYOIPv6，您可以控制 AWS 是否向外部公布 IPv6 CIDR。BYOIPv6 地址的作用方式与 Amazon 提供的 IPv6 地址相同。它们可以分配给 EC2 实例以及 VPC 中的弹性网络接口和子网。为了避免使用相同的 IPv6 子网进行内部和外部连接，您可以为同一 VPC 配置未公开发布的 BYOIP IPv6 地址范围作为辅助 IPv6 CIDR。对于公开发布的 IPv6 CIDR，/48 是您可以引入的最具体的地址范围。/56 的 CIDR 块可以在未公开发布时使用。每个地址范围一次可以引入到一个区域。

• 集中式或分布式网络配置和管理

  • 场景
  • 概述
  • 实施

  • 场景

  • 集中式或分布式网络配置和管理

    • 集中式网络管理
    • 通过检查网关/防火墙路由云端和本地工作负载的应用程序流量
  • 概述
  • 集中式或分布式网络配置和管理

    在构建网络时，您必须为组织选择分散式或集中式联网组件。从较小的网络、本地位置和云提供商网络开始，这有助于减少复杂的点对点通信。然而，随着网络的扩展和节点数量的增加，网络管理的复杂性也会随之增加，这就会带来可扩展性方面的挑战。相比点对点通信线路，中心辐射型网络拓扑具有诸多优势。

    集中式网络（中心辐射型网络）使您能够在一个位置审核所有流量，管理来自您环境的入口和出口流量，并简化连接管理。

    中心辐射型网络可提高额外链路的可扩展性，并实现对各个分支点的集中管理。您可以使用这些工具集中管理对公有和私有网络的访问，限制用户通过 LAN 和 WIFI 网络对资源的访问，控制路由组件的安装和删除，并简化网络逻辑划分（VLAN、VRF 等）的更改。
    

    自动化网络基础设施

    在云环境中，网络工程师不仅要设置网络，还要利用编排技术，通过基础设施即代码（IaC）来大规模创建网络基础设施。这可以缩短部署时间，减少设置重复模式时的人为错误，并简化必须在不同环境中重现现有网络架构时的直接迁移。

    IP 地址管理（IPAM）系统可以管理和自动化 IP 地址管理。IPAM 解决方案有助于增强动态 IP 地址分配、添加/删除新的和现有的 CIDR 以及自动交付和记录管理。网络管理自动化允许您将 IP 地址分配给网络资源，从而减少启动新应用程序或扩展现有应用程序时的延迟。IPAM 系统还可以自动跟踪关键 IP 地址信息，例如其分配属性、网络位置以及路由和安全域。减少手动跟踪或记录 IP 地址的需要，以及 IP 分配过程中出错的可能性。

    流量检查

    咨询您的网络和安全团队，了解混合设置中的流量检查要求，并确定需要检查的应用程序流量。离开云基础设施并流出到公共互联网的任何流量通常都会受到攻击。为避免此类风险，网络内关键工作负载产生的所有流量都应通过检测设备进行路由。在设计网络拓扑时，您的安全和工程团队应与您的网络团队合作，根据要审查的流量确定检查的粒度级别。一些示例包括流量方向（东西向、南北向）、协议以及起点和目的地。这些检查必须满足您的政策的合规性和取证标准。此外，为了避免单点故障，我们建议您构建高可用性（HA）检查设备。
    

  • 实施
  • 集中式网络管理

    制定网络策略时需要考虑两种类型的网络策略：集中式网络和分散式网络。尽管分散式网络架构（也称为“全网格”或点对点网络）允许您随着网络的增长实施基础设施改进，但它们通常存在可扩展性方面的问题。因此，我们建议您采用集中式方法（也称为中心辐射型网络）来发展、保护您的网络并在整个环境中设置控制。

    要集中管理您的 AWS VPC 网络，必须创建一个用于中央网络资源和网络管理的账户。参考 Cloud Foundations 工作负载隔离边界功能来创建网络账户。

    选项 1 — 托管网络：AWS 云 WAN 通过单个中心关联您的 Amazon Virtual Private Cloud（VPC）和本地网络。这可以简化您的网络并消除复杂的对等安排。它充当云路由器，每个新连接只需建立一次。随着您在全球范围内的发展，区域间对等连接通过 AWS 全球网络将 Amazon VPC 联接起来。您的数据会自动加密，并且绝不会通过公共互联网传播。

    在您想要连接到集中式中心的每个区域的网络账户中创建一个全球网络。这样，管理网络服务账户的网络工程师就可以进行集中管理。使用 AWS Resource Access Manager（RAM）共享您的 AWS 云 WAN 连接实例，以连接同一区域内 AWS Organization 中多个账户的 VPC。AWS RAM 使您能够轻松安全地与任何 AWS 账户或 AWS 组织内共享 AWS 资源。

    选项 2 — 自定义网络构建：如果您使用 AWS Transit Gateway 构建网络，我们建议您利用基础设施即代码（IaC）定期部署 AWS Transit Gateway，并使用 IaC 自动建立从新生成的 VPC 和子网返回中央 AWS Transit Gateway 的链接。要处理整个环境中传输网关的部署和配置，您可以使用自动化解决方案，例如 AWS 上的无服务器网络编排工具。

    为了增强安全性，您可以将 AWS Network Firewall 服务与您的 NAT 网关集成，从而检查和筛选出站流量。您可以查看如何构建高可用性 AWS Network Firewall，并考虑使用 NAT 网关和 AWS Network Firewall 进行集中传出的路由表设计注意事项。

    注意：AWS Network Firewall 不会为您执行网络地址转换。此功能由 NAT 网关在通过 AWS Network Firewall 进行流量检查后处理。在这种情况下，不需要入口路由，因为默认情况下，返回流量会转发到 NATGW IP。
    

• 混合连接

  • 场景
  • 概述
  • 实施

  • 场景

  • 混合连接

    • 在本地和云之间建立连接
    • 访问计算资源（例如主机操作系统）
    • 设置具有冗余性、高可用性和容错能力的连接
  • 概述

  • 客户构建其云环境时，通常需要在本地以及不同的云提供商之间部署工作负载。您可能需要满足某些连接要求，以便您的工作负载可以跨不同的网络和环境进行通信。

    连接不同环境的最简单方法是通过公共互联网。但是，公共互联网是一个共享网络。这可能会影响您的性能，并且流量在网络层未加密。关键工作负载和生产工作负载之间的通信应通过专用的安全网络配置进行。我们建议您将互联网通信限制在测试或开发环境中。

    如果您需要使用互联网访问云环境中的资源，我们建议您在环境中创建一个堡垒主机。堡垒主机让您能够私密访问所有其他云资源，从而提高不需要在互联网上公开的资源的安全性。您可以通过此主机来监控对您的云环境和资源的访问。

    您的业务部门（BU）的需求通常会成为长期和短期连接计划的驱动因素。我们建议您与中央 IT 团队、安全团队和不同的工作负载所有者合作，以了解带宽、吞吐量和合规性要求。在构建网络安全套接字层（SSL）时，VPN 是服务连接和用户到端点模型的绝佳选择。SSL 或类似的 VPN 客户端可以安装在单个用户的系统/服务器/笔记本电脑上，以保护您的云环境与本地和单个用户设备之间的连接。VPN 或本地和云环境之间的直接专用连接链路是客户常选的一些选项。这两个选项通常都需要在您的数据中心/办公室和云提供商网络之间建立第 2 层和第 3 层连接。使用 VPN 时，您可以对两个端点之间的流量进行加密，并且流量通过 VPN 隧道内的私有 IP 传输。使用物理链路时，流量通过专用租用线路传输，因此与 VPN 相比，您可以获得专用带宽和可预测的网络性能。

    在配置网络路由时，您可以选择静态路由或动态路由。静态路由需要在两端手动配置源和目标的路由。动态（BGP 或 OSPF）路由则允许您自动在网络中传播路由。对于大多数网络选项配置，我们建议使用动态路由解决方案以实现可扩展性和适应性。

    边缘连接正逐渐成为用户群体遍布全球的应用程序的首选方案。内容分发网络（CDN）和类似的边缘网络解决方案采用分布在全球各地的边缘站点。这使得应用程序流量可以通过某个更靠近最终用户的节点进行访问，从而显著减少对互联网服务提供商（ISP）网络的使用。这些解决方案通过增强网络和工作负载的性能来改善最终客户体验。

    无论您选择哪种连接选项来连接本地环境和云环境，都要确保通信渠道的高可用性和冗余性。路由维护、升级、其他意外网络、电气事件和自然事件都可能会中断您的主要连接。在这种情况下，可能需要一个辅助（或失效转移）连接来避免中断。

  • 实施

  • 在建立从远程网络到 Amazon VPC 网络的连接时，需要考虑不同的选项。根据您在本地环境和 AWS 云环境之间的带宽、成本、延迟和弹性要求，您可以决定使用虚拟连接（Amazon Managed VPN 或 Software Site-to-Site VPN）、专用网络链接（AWS Direct Connect）或两者的组合。请参阅网络到 Amazon VPC 连接选项表和以下带宽表，以确定哪种类型的连接是将您的网络连接到 Amazon VPC 网络的最佳选择。

    网络到 Amazon VPC 带宽表：

    AWS 服务	带宽
    互联网网关	NA
    NAT 网关	默认情况下支持 5Gbps 的带宽，并可自动纵向扩展到 100Gbps
    Transit Gateway	每个 VPC 连接、AWS Direct Connect 网关或对等传输网关连接的最大带宽高达 50 Gbps
    PrivateLink	每个 ENI 10 Gbps。突增容量为 40Gbps
    接口端点	每个 ENI 10 Gbps。突增容量为 40Gbps
    网关端点	NA
    Direct Connect	使用专用连接最高可达 100Gbps。
    Site to Site VPN	虚拟专用网关（VGW）上每个 IPsec 隧道 1.25Gbps。具有等价多路径（ECMP）的传输网关（TGW）VPN 可以产生更高的吞吐量。
    Client VPN	吞吐量取决于多种因素，例如从您的位置到您的连接容量，以及计算机上的 Client VPN 桌面应用程序与 VPC 端点之间的网络延迟。
    AWS 云 WAN	每个 VPC 连接或对等传输网关连接的最大带宽最高可达 50 Gbps

    访问主机操作系统

    建立网络连接后，我们建议您设置安全措施以访问您环境中的资源，并确保这些资源能够访问远程网络上托管的任何数据（如果有）。

    堡垒主机
    如果您需要使用互联网访问云环境中的资源，我们建议您在环境中创建一个堡垒机。您可以从该堡垒机私密访问所有其他云资源。在这种情况下，请确保堡垒机安全且受监控，具有高可用性架构，并且不会出现单点故障，因为您将使用它来进入您的云环境。

    堡垒主机是托管在公共网络上的计算资源，您可以远程连接到这些资源，以访问环境中的资源。为了避免在这些环境中管理 SSH 密钥，我们建议您使用 AWS Systems Manager 会话管理器（SSM）会话管理器。会话管理器允许您从 AWS 管理控制台访问基于 Web 的终端会话。它使您的团队能够访问主机，而无需创建入站网络访问；SSM 只需要与 AWS SSM 端点的出站连接即可允许访问。SSM 会话管理器的远程连接由 SSM 代理实例化，SSM 代理是本地安装在操作系统上的应用程序。

    如果您使用的是 AWS 提供的 EC2 映像，则默认情况下已安装 SSM 代理。要将 SSM 代理添加到默认情况下未提供它的 EC2 实例，请参阅使用 SSM 代理。

    要开始使用 AWS SSM，请按照 AWS 最新文档中设置会话管理器的步骤进行操作。在该文档中，您将找到完成所有先决条件、为会话管理器创建 IAM 角色以及允许用户访问的步骤。可以扩展会话管理器以限制用户在 EC2 主机上的操作，以及为不需要任何额外网络入站流量的本地 SSH 或 RDP 访问创建反向隧道。

    AWS Systems Manager 会话管理器是一项重要的服务，可在支持零信任网络架构的同时访问您的操作环境。
    

    设置具有冗余性、高可用性和容错能力的连接

    在设计连接到 AWS 环境的系统时，您需要考虑容错能力。要允许直接从私有子网访问 Internet 或其他 VPC，请在部署私有子网的每个 VPC 中配置 AWS NAT 网关。我们建议您为 VPC 部署使用多个可用区。在 VPC 内，部署在至少两个可用区中运行的冗余 AWS NAT 网关，以提供网络弹性。通过部署多个 NAT 网关，即使整个可用区丢失，您的私有网络流量也可以继续运行。

    每个 AWS Site-to-Site VPN 连接都有两个隧道，每个隧道使用唯一的公共 IP 地址。配置两个隧道以实现冗余非常重要。当一个隧道不可用（例如，因维护而关闭）时，网络流量会自动路由到该特定 Site-to-Site VPN 连接的可用隧道。如果使用多个 Direct Connect 连接，您将受益于使用高弹性或最大弹性模型的弹性工具包。

    如果您使用堡垒主机，我们建议您使用跨多个可用区或多个区域（如果您使用集中式或网状网络）的多个堡垒主机建立具有高可用性和容错能力的连接。您可以使用此快速入门来设置高度可用的堡垒主机系统。

• 网络监控和日志记录

  • 场景
  • 概述
  • 实施

  • 场景

  • 网络监控和日志记录

    • 启用网络日志记录以查看进入和离开网络的 IP 级流量
    • 监控和分析网络日志和指标
    • 设置网络监控控制面板以查看指标、历史日志和网络性能统计信息
  • 概述

  • 网络中的可观测性对于保持最佳性能和降低风险至关重要。网络日志包含 IP 地址、端口、协议以及通过基础设施发送的流量类型等信息，可用于了解网络的运行情况。网络日志（包括用于有效负载检查的应用程序流量）可用于在发现未经授权或恶意流量时识别和执行纠正措施。网络日志还可用于排查网络问题，包括连接性和性能。将网络日志集中起来进行分析，有助于简化跨所有生成流量和日志的设备的解决方案的复杂性。集中这些日志的另一大优势在于，它便于使用一种能够分析流量、监控网络模式并执行主动和被动补救措施的解决方案。

    在工作负载的流量和负载高峰期间，您的底层基础设施需要具有弹性并为用户提供预期的性能。我们建议您收集基础设施的性能指标。这有助于您判断网络是否得到了正确优化，并根据需要进行调整以增强其性能。在云环境中，所有这些指标都可以推送到同一个监控控制面板。您基本上可以从单一位置监控整个网络和性能。这些控制面板还可以根据检测到异常活动时收集的数据实施警报以及不同的自动化操作。这有助于 IT 团队缩短网络中发现的事件的修复时间，并避免工作负载出现问题。

  • 实施

  • 尽管网络结构各不相同，但您应将网络监控与广泛的可观测性实施相结合，包括指定在 Amazon CloudWatch 中捕获的网络指标。客户可以从这里开始基于遥测数据进行监控和警报。

    通过实施 VPC Reachability Analyzer 和 Amazon Inspector Network Reachability 等工具，自动执行 AWS 网络监控，并识别环境中网络访问可能配置不当的地方。

    启用网络日志记录以查看进入和离开网络的 IP 级流量

    您可以为 VPC、子网或网络接口创建流日志。如果您为子网或 VPC 创建流日志，该子网或 VPC 中的每个网络接口都将被监控。

    启用 Amazon VPC Flow Logs 以捕获有关进出 VPC 中的网络接口的 IP 流量的信息。当需要执行内容检查、威胁监控或故障排除时，您可以将网络流量复制到特定的监控设备。创建流日志订阅时，您可以选择您想要捕获的元数据字段、最大聚合间隔和您的首选日志目的地。我们建议您将这些日志聚合到一个集中位置，最好是在您的日志存储中。

    流日志可以帮助您完成许多任务，例如：

    • 诊断过于严格的安全组规则
    • 监控到达您的实例的流量
    • 确定进出网络接口的流量的方向

    您还可以选择捕获所有流量或仅接受或拒绝流量。您可以使用 CloudWatch Log Insights 或 CloudWatch Contributor Insights 等工具分析传输到 CloudWatch Logs 的 VPC 流日志。您可以使用 Amazon Athena 和 Amazon QuickSight 等工具来查询和可视化传输到 Amazon S3 的 VPC 流日志。我们建议您按照日志存储功能中包含的说明创建一个中央 S3 存储桶，并保护这些日志，使其具有防篡改性，并以允许一次写入多次读取的方式进行保护。您还可以构建自定义下游应用程序以分析您的日志或使用 Splunk、Datadog、Sumo Logic、Cisco StealthWatch、Checkpoint CloudGuard、New Relic 等合作伙伴解决方案。

    注意：流日志数据在网络流量路径之外收集，因此不会影响网络吞吐量或延迟。您可以创建或删除流日志，不会产生任何影响网络性能的风险。

    监控和分析网络日志和指标

    使用 Amazon CloudWatch 监控您的网络资源性能和指标。指标是有关系统性能的数据。Amazon CloudWatch 可以加载您账户中的所有指标，用于搜索、绘图和警报。CloudWatch 还可用于聚合 VPC 流日志。例如，可以将所有日志发送到 CloudWatch 进行监控和观测。

    设置 CloudWatch 警报 VPC 流日志指标筛选器，您可以在其中配置 Amazon CloudWatch 指标以筛选 VPC 流日志中的“REJECTS”。根据该筛选器运行 CloudWatch 警报，当 IP 数据包在 VPC 内被拒绝时，您可以收到通知。这使您能够更好地了解虚拟私有云中未经授权或被拒绝的 IP 流量。

    使用 CloudWatch Logs Insights 以交互方式查询和分析 Amazon CloudWatch Logs 中的日志数据。请参阅 Route53 和 VPC 流日志示例 Insight 查询，以开始分析网络日志。您可以执行查询以帮助您更高效地响应运营问题。如果存在问题，您可以使用 CloudWatch Logs Insights 来识别潜在原因并验证已部署的修复。CloudWatch Logs Insights 会自动发现来自 AWS 服务（例如 Amazon Route 53 和 Amazon VPC）的日志中的字段，以及以 JSON 形式发出日志事件的任何应用程序或自定义日志。

    设置网络监控控制面板以查看指标、历史日志和网络性能统计信息

    设置 Amazon CloudWatch 控制面板，它们是 CloudWatch 控制台中可自定义的主页，您可以使用它们在单个视图中监控您的资源，即使这些资源分布在不同区域。您可以使用 CloudWatch 仪表板为您的 AWS 资源创建指标和警报的自定义视图。所有网络级指标和警报都可从单个仪表板进行监控。

    我们建议将网络 CloudWatch 指标、警报和控制面板的视图集中到一个中央监控账户，以便网络管理员可以在一个位置查看所有组织账户和区域的网络性能和状态。要将指标、警报和仪表板共享到集中账户，请参阅《CloudWatch 用户指南》中的 CloudWatch 跨账户控制台指南。

• DNS 管理

  • 场景
  • 概述
  • 实施

  • 场景

  • DNS 管理

    • 为您的云资源实施 DNS
    • 在云端和本地之间配置 DNS 解析
    • 配置 DNS 路由
    • 为 DNS 查询审核和故障排除设置日志记录
  • 概述

  • 每个应用程序和组织都使用域名服务（DNS）将名称连接到 IP 地址。组织通常需要管理自己的 DNS 服务器或使用公共 DNS 系统进行 DNS 查询。在云环境中，您可以创建 DNS 区域来发布记录，而无需配置和维护自己的 DNS 服务器和软件。

    我们建议您在私有 DNS 区域中管理内部工作负载和服务器域名，并将其限制在您的网络内。对于面向公众的工作负载和服务，我们建议您设置不同的 DNS。该 DNS 应可公开访问，以便互联网上的客户端能够连接。

    典型的应用程序架构涉及整体式、虚拟机（VM）或容器化版本的作业和服务、关系或键值数据库和其他数据集，以及由 API 路由或负载均衡器组成的前端。上述每一种构造都需要独特的联网、规划和设计。无论应用程序的结构如何，DNS 在将流量转发到您的应用程序方面都起着关键作用。您应该与您的应用程序团队合作，评估他们对用户体验和应用程序监控的需求。您可以使用云提供商提供的 DNS 运行状况检查来测试您的应用程序或数据库，以确保它们在生产环境中正常运行。同样，也可以对云中的应用程序流量应用 DNS 策略，以影响路由。例如，您可以使用 DNS 路由策略，控制哪些端点基于应用程序、用户或延迟的特定地理位置向用户提供内容。您还可以配置 DNS 记录以实现两个端点之间的主动/被动或负载平衡。

    对于具有混合工作负载（包括本地和基于云的资源）的客户，需要执行额外操作来配置 DNS，以在两个环境中无缝工作。您可以在 AWS 上使用不同的端点来路由 DNS 流量进出云和本地网络。此外，为方便起见，还应考对所有云网络和本地域的集中进行 DNS 管理。此外，当您在本地和云架构之间建立混合连接时，DNS 可提供一项不可或缺的功能，因为本地资源需要解析云中资源的 DNS 名称，反之亦然。

    最后，为了深入了解 DNS 流量以进行审查，应启用 DNS 日志记录并将其推送到监控系统以深入了解 DNS 数据，并根据该数据执行必要的操作。

  • 实施
  • 为您的云资源实施 DNS

    DNS 是网络环境的重要组成部分之一。低效或不正确的 DNS 配置常常成为解决流量传播问题的主要障碍，并可能对业务造成重大影响。

    我们建议您将 Amazon Route 53 设置为 DNS 服务。Route 53 的主要功能包括：

    • 域注册
    • DNS 路由
    • 运行状况检查

    Route 53 允许您创建托管区，即 DNS 记录的容器，用于定义如何路由域或子域的流量。有两种类型的托管区：

    • 私有托管区支持在 VPC 内部配置 DNS 路由。您可以使用 VPC 端点路由流量，并通过 AWS 网络连接到 AWS 服务（包括 Amazon EC2、EKS、ECS 和 S3 等服务）。
    • 公有托管区公共托管区允许您将流量路由到 AWS 外部，例如传统 DNS 服务器。

    Amazon Route 53 还支持您创建拆分视图的 DNS，即在同一个域下，您可以托管私有 VPC 端点和公共网站或端点的域名。

    在云端和本地之间配置 DNS 解析

    当您使用 Route 53 注册域时，Route 53 会自动成为该域的 DNS 服务。Route 53 会创建一个与该域同名的托管区，为托管区分配四个名称服务器，并更新域以使用这些名称服务器。如果现有域切换到 Route 53，则会创建一个与您的域同名的托管区，然后在该托管区中创建记录。每条记录都指示了您希望如何为指定的域名或子域名路由流量。例如，当用户在 Web 浏览器中输入您的域名时，流量可以路由到数据中心的 Web 服务器、Amazon EC2 实例、CloudFront 分发点或其他位置。

    您可以单独创建记录，也可以通过从当前域服务提供商导入区域文件来创建记录。我们建议您更改当前 DNS 服务提供商托管区中的名称服务器（NS）记录的有效时间（TTL）以及域的 Amazon Route 53 托管区中的 NS 记录。如果您的域正在使用中（例如，如果您的用户正在使用域名浏览网站或访问 Web 应用程序），则 DNS 解析器已缓存当前 DNS 服务提供商提供的名称服务器的名称。几分钟前缓存了该信息的 DNS 解析器会将该信息保存近两天。如果您已为域配置 DNSSEC，则在将域迁移到 Route 53 之前，还需要从父区域中删除委派签名者（DS）记录。一旦 Amazon Route 53 成为您的域服务，您也可以通过联系 AWS 支持将域的注册转移到 Route 53。

    Amazon Route 53 Resolver 端点是域控制器和条件转发规则的良好替代方案，可帮助您将 DNS 查询从 VPC 路由到本地或其他 VPC，反之亦然。确保已启用 VPC 的 DNS 属性 — 在 DNS 支持属性中启用 DNS 解析，并且 VPC 和本地之间存在本地连接，例如 Amazon Direct Connect 或 VPN。创建 Amazon VPC 时，VPC CIDR 或 VPC CIDR IPv4 网络范围的第二个 IP 加二（.2）专用于 VPC DNS 解析器。

    Amazon VPC 从 Route 53 解析器接收自动 DNS 解析。您可以配置出站解析器端点，将 VPC 中 Amazon EC2 实例的域名 DNS 查询转发到远程网络上的 DNS 解析器。对于出站端点，您必须配置出站规则，以规定如何根据域名将 DNS 查询路由到 VPC 之外。请参阅 Route 53 解析器出站端点。入站端点应用于将 DNS 查询从本地路由到 Amazon VPC 中的私有域名。入站和出站解析器端点还可以在不同 AWS 账户中的 VPC 之间路由 DNS 查询。

    您应该确定 AWS 和非 AWS 工作负载之间的 DNS 流量流的使用案例 — 从 VPC 中运行的工作负载解析本地域、从本地运行的工作负载解析 AWS 环境中的私有域，或在不同 AWS 账户中运行的工作负载之间解析私有域。使用 Amazon 提供的默认 DNS 服务器和解析器端点在本地和 AWS 之间以及 AWS 内路由流量。中央 VPC 上的默认 VPC DNS 充当参与 AWS 账户中运行的所有工作负载的主域解析器。这是 VPC CIDR 范围内的第二个 IP 地址。

    入站端点接收从本地 DNS 服务器和参与 AWS 账户中运行的工作负载转发的查询。出站端点用于将域查询从 AWS 转发到本地 DNS。对于这种架构，您需要两个转发规则：一个规则通过出站端点将域名查询转发到本地 DNS 服务器，另一个规则将域名查询转发到中央 VPC 中的解析器入站端点。这两个转发规则需要通过 AWS Resource Access Manager 与所有其他 AWS 账户共享，并与这些账户中的所有 VPC 相关联。

    完成流程这一部分的步骤：

    1. 在 AWS 账户中打开 Route 53 控制台（需要登录）。
    2. 在导航窗格中，选择“规则”。
    3. 选择您要共享的规则。
    4. 对于“选择资源类型”，选择“Resolver 规则”。
    5. 选择“Resolver 规则 ID”以共享。
    6. 指定要共享的主体。主体可以是单个账户或某个企业。
    7. 打开 AWS RAM 控制台并选择“与我共享”、“资源共享”。
    8. 为 Route 53 解析器规则选择资源共享 ID，然后选择“接受资源
       共享”。
    9. 在另一个 AWS 账户中，在 Route 53 控制台中选择“规则”。
    10. 选择您共享的解析器规则，然后选择“关联 VPC”。
    11. 最后，从列表中选择 VPC 并选择“添加”。

    来自此 VPC 的 DNS 查询现在可以使用来自中央账户的共享规则的出站端点。AWS RAM 执行管理 VPC 与规则出站端点之间连接的功能。

    请参阅“使用 Route 53 Resolver 简化多账户环境中的管理”博客文章，查看示例解决方案，该解决方案解释了如何在无需在 AWS 中运行域控制器的情况下跨多个账户以及在 AWS 和本地运行的工作负载之间解析域。

    配置 DNS 路由

    Amazon Transit Gateway 和 VPC 对等互连支持跨区域 EC2 域名解析。从同样连接到 AWS Transit Gateway 的 Amazon VPC 进行查询时，AWS Transit Gateway 还支持将公有 DNS 主机名解析为私有 IP 地址。如果您想要解析另一个区域中 VPC 的私有托管区中的记录，则可以使用跨区域 VPC 到私有托管区功能。如果私有托管区位于不同的 AWS 区域，您还可以使用 Route 53 解析器端点来解析 DNS 查询。

    例如，假设您在 us-east-1 区域中有一个 EKS 集群。EKS 客户端需要解析位于 AWS 区域 us-west-1 的 VPC 的私有托管区中的记录。在这种情况下，Route 53 解析器入站端点需要与 us-west-1 中的 VPC 关联，这样就可以从 us-east-1 VPC 接收 DNS 查询。同样，EKS VPC 应该配置出站解析器端点，这样就可以将查询路由到 us-east-1 中的 EKS VPC 之外。Route 53 入站和出站端点还可用于分别将 DNS 查询从本地路由到 Amazon VPC，以及从 VPC 路由到本地主机。

    日志 DNS 查询

    DNS 查询日志对于监控和排查 DNS 问题非常重要。使用 Route 53 进行 DNS 解析时，应启用 DNS 查询日志记录。DNS 查询日志可以发送到以下三项 AWS 服务之一：Amazon CloudWatch Logs、Amazon Simple Storage Service（Amazon S3）和 Amazon Kinesis Data Firehose。查询日志包含 DNS 解析器转发到 Route 53 的查询，并提供请求的域或子域、请求的日期和时间、DNS 记录类型、DNS 响应代码以及响应 DNS 查询的 Route 53 边缘站点等信息。

    您可以配置 Amazon Route 53 以记录有关 Route 53 收到的公共 DNS 查询的信息，例如：

    • 请求的域或子域
    • 请求的日期和时间
    • DNS 记录类型（例如 A 或 AAAA）
    • 响应 DNS 查询的 Route 53 边缘站点
    • DNS 响应代码，例如 NoError 或 ServFail

    配置查询日志记录后，Route 53 会将日志发送到 CloudWatch Logs。您可以使用 CloudWatch Logs 工具访问查询日志。

• SaaS 提供商连接

  • 场景
  • 概述
  • 实施

  • 场景

  • SaaS 提供商连接

    • 私密连接到 SaaS 提供商
    • 为 SaaS 私有连接配置 DNS
  • 概述
  • 为应用程序构建 DNS 设置

    每个应用程序和组织都使用 DNS 将名称连接到 IP 地址。在云环境中，DNS 管理变得至关重要，因为它能够让各项工作负载和服务相互发现。组织通常需要管理自己的 DNS 服务器或使用公共 DNS 系统进行 DNS 查询。在云环境中，您可以创建 DNS 区域来发布记录，而无需配置和维护自己的 DNS 服务器和软件。

    我们建议您在私有 DNS 区域中管理内部工作负载和服务器域名，并将其限制在您的网络内。对于面向公众的工作负载和服务，我们建议您设置不同的 DNS。DNS 应该可以通过互联网公开访问，以便客户端进行连接。

    典型的应用程序架构涉及整体式、虚拟机（VM）或容器化版本的作业和服务、关系或键值数据库和其他数据集，以及由 API 路由或负载均衡器组成的前端。上述每一种构造都需要独特的联网、规划和设计。无论应用程序的结构如何，DNS 在将流量转发到您的应用程序方面都起着关键作用。与您的应用程序团队合作，评估他们对用户体验和应用程序监控的需求。您可以使用云提供商提供的 DNS 运行状况检查来测试您的应用程序或数据库，以确保它们在生产环境中正常运行。同样，也可以对云中的应用程序流量应用 DNS 策略，以影响路由。例如，您可以使用 DNS 路由策略，控制哪些端点基于应用程序、用户或延迟的特定地理位置向用户提供内容。您还可以配置 DNS 记录以实现两个端点之间的主动/被动或负载平衡。

    对于具有混合工作负载（包括本地和基于云的资源）的客户，需要执行额外操作来配置 DNS，以在两个环境中无缝工作。您可以在 AWS 上使用不同的端点来路由 DNS 流量进出云和本地网络。此外，为方便起见，还应考对所有云网络和本地域的集中进行 DNS 管理。此外，当您在本地和云架构之间建立混合连接时，DNS 是房间中的主要参与者之一，因为本地资源需要解析云中资源的 DNS 名称，反之亦然。

    最后，为了深入了解 DNS 流量以进行审查，应启用 DNS 日志记录并将其推送到监控系统以深入了解 DNS 数据，并根据该数据执行必要的操作。

  • 实施
  • 私密连接到 SaaS 提供商

    SaaS 提供商可以通过第三方集成来扩展其产品的功能和优势。AWS PrivateLink 可用于这些集成，它提供不暴露给公共网络的网络路径。与 AWS PrivateLink 配合使用的 SaaS 提供商产品的一些示例包括托管数据库、日志摄取和分析工作负载。

    许多 AWS 合作伙伴在 AWS 上向客户提供日志分析和安全性扫描等 SaaS 服务。SaaS 提供商会在其客户的 VPC 中安装代理或客户端，以便生成数据并将数据发送回提供商。在使用 SaaS 应用程序时，客户只有两种选择：一种是允许 VPC 访问互联网，而这可能会让 VPC 资源面临风险；另一种是完全不使用这种应用程序。而利用 AWS PrivateLink，您能够以私有、安全而可扩展的方式将您的 VPC 连接到 AWS 服务和 SaaS 应用程序。由于只能由您启动与服务的连接，因此可以防止服务提供商进行不必要的通信。

    通过由 AWS PrivateLink 提供支持的接口 VPC 端点，您可以访问 AWS 合作伙伴托管的服务以及 AWS Marketplace 中提供的支持解决方案。通过为网关负载均衡器端点提供支持，AWS PrivateLink 可为您的虚拟网络设备或自定义流量检查逻辑带来同等级别的安全性和性能。

    设置接口端点时，选择跨多个可用区的多个子网以实现高可用性。ENI 的数量应等于所选子网的数量。接口端点提供每个 ENI 10 Gbps 的吞吐量，突增能力为 40 Gbps。如果您的使用案例需要更高的吞吐量，请联系 AWS Support。

    您可以从 AWS PrivateLink 合作伙伴中找到各种访问连接解决方​​案。

    为 SaaS 私有连接配置 DNS

    设置 AWS PrivateLink 或接口端点时，您的客户可以选择以下 DNS 选项，以将流量发送到端点：

    • 特定于端点的地区 DNS
    • 特定于端点的区域 DNS
    • 私有 DNS

    启用“私有 DNS”选项后，正在为其创建端点的 AWS 服务的端点将解析为私有 IP，这对应于 PrivateLink 网络接口 IP。禁用“私有 DNS”后，服务 DNS 名称将解析为公共 IP，流量将不会通过 AWS PrivateLink 路由。在这种情况下，您需要使用特定于端点的 DNS 名称（地区或区域），以便通过 AWS PrivateLink 弹性网络接口路由流量。

    AWS PrivateLink 服务提供商使用网络负载均衡器作为前端，配置在其 VPC 中运行服务的实例。将区域内 VPC 对等连接（VPC 位于同一区域）和区域间 VPC 对等连接（VPC 位于不同区域）与 AWS PrivateLink 结合使用，以允许消费者跨 VPC 对等连接进行私有访问。远程 VPC 中的消费者无法跨 VPC 对等连接使用私有 DNS 名称。但是，他们可以在 Route 53 上创建自己的私有托管区，并将其附加到他们的 VPC 以使用相同的私有 DNS 名称。